Home hardware firewall
Maximilian Wilhelm
max at rfc2324.org
Fri Mar 30 01:21:04 CEST 2007
Am Thursday, den 29 March hub Frank Wohlfahrt folgendes in die Tasten:
> Am Donnerstag, 29. März 2007 10:09 schrieben Sie:
> > das hängt, wie so vieles in diesem Interessengebiet davon ab, was Du
> > erreichen willst. Im einfachsten Fall ist eine iptables firewall ein
> > Fünfzeiler. Du erreichst damit, daß von innen nach außen alles erlaubt ist
> > und mit einem hiding NAT versehen wird. Von außen nach innen ist nichts
> > erlaubt. Solche Regelsätze findest Du sicher im Netz. Es wird nur
> > komplizierter, wenn Du mehr willst.
Das hab ich unten mal gebastelt.
> Es ist ja genau das Problem zu definieren "was ich will": Es darf von aussen
> nichts rein und die Userdienste von innen sind http, pop und vielleicht ftp.
> Die anderen notwendigen Verbindungen wie Nameserver, oder was weiss ich noch
> muessen natuerlich auch noch gehen. Beim Googlen findet man zu dem Thema
> unendlich viel. Vielleicht dieses:
> http://wiki.openwrt.org/SimpleFirewall?highlight=%28iptables%29 ??
> Die ganze Doku, auch zur Build-Umgebung, Konfigurierung ist noch dazu harter
> Stoff. Vielleicht hat jemand noch einen GUTEN Link. Ansonsten frage ich mal
> im openwrt Forum.
Das ist viel zu kompliziert, was die da zeigen.
Du willst sowas:
*BEVOR* Du das nutzt, macht Dir klar, was das macht.
Dazu fragst Du am Besten jemanden, der sich mit sowas auskennt
und/oder guckst mal hier vorbei:
* http://netfilter.org/documentation/index.html#documentation-faq
(z.B. Packet Filtering HOWTO)
-----schnipp-----
#!/bin/sh
#
# Wirklich simples Firewallskript das nur NAT'et
# und triviale Sicherheitsmechnismen durchsetzt.
##
# Konfiguration
# Welche IPs werden im LAN benutzt?
INTERNES_NETZ="192.168.42.0/24"
# Wo gehts ins Internet?
INTERNET_DEV="ppp0"
##
# Show time.
# Alle Regeln loeschen
iptables -t filter -F
iptables -t nat -F
# Default policy setzen
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Dinge die man einfach zulassen will
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Zugriff auf den Router aus dem Netz erlauben (gutmuetig)
iptables -A INPUT -s ${INTERNES_NETZ} -j ACCEPT
# LAN -> * und zurueck
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s "${INTERNES_NETZ}" -j ACCEPT
# NAT
iptables -t nat -A POSTROUTING -o "${INTERNET_DEV}" -j MASQUERADE
# Du kommst hier net rein.
iptables -A INPUT -j REJECT --reject-with icmp-admin-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-admin-prohibited
-----schnapp-----
Ciao
Max
--
Follow the white penguin.
More information about the Linux
mailing list